Informationen zum Sicherheitsinhalt von macOS Catalina 10.15.2, zum Sicherheitsupdate 2019-002 Mojave, zum Sicherheitsupdate 2019-007 High Sierra

In diesem Dokument werden der Sicherheitsinhalt von macOS Catalina 10.15.2, das Sicherheitsupdate 2019-002 Mojave und das Sicherheitsupdate 2019-007 High Sierra beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

macOS Catalina 10.15.2, Sicherheitsupdate 2019-002 Mojave, Sicherheitsupdate 2019-007 High Sierra

ATS

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Ein Schadprogramm kann möglicherweise auf beschränkte Dateien zugreifen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2019-8837: Csaba Fitzl (@theevilbit)

Bluetooth

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2019-8853: Jianjun Dai von Qihoo 360 Alpha Lab

CallKit

Verfügbar für: macOS Catalina 10.15

Auswirkung: Mithilfe von Siri getätigte Anrufe können bei Geräten mit zwei aktiven Mobilfunktarifen über den falschen Mobilfunktarif eingeleitet werden.

Beschreibung: Bei der Verarbeitung von ausgehenden Telefonanrufen, die mithilfe von Siri getätigt wurden, lag ein API-Problem vor. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2019-8856: Fabrice TERRANCLE von TERRANCLE SARL

CFNetwork-Proxys

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2019-8848: Zhuo Liang vom Qihoo 360 Vulcan Team

CFNetwork

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann möglicherweise für eine bestimmte Anzahl von Top-Level-Domänen, die zuvor nicht in der HSTS-Preloadliste aufgeführt waren, HSTS umgehen.

Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2019-8834: Rob Sayre (@sayrer)

CUPS

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: In bestimmten Konfigurationen kann ein entfernter Angreifer willkürliche Druckbefehle übermitteln.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-8842: Niky1235 von China Mobile

CUPS

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Ein Angreifer in einer privilegierten Position kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-8839: Stephan Zeisberg von Security Research Labs

FaceTime

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Das Verarbeiten eines in bösartiger Absicht erstellten Videos mit FaceTime kann dazu führen, dass Code willkürlich ausgeführt wird.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8830: natashenka von Google Project Zero

IOGraphics

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Ein Mac wird nach dem Beenden des Ruhezustands nicht sofort gesperrt.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8851: Vladik Khononov von DoiT International

Kernel

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2019-8833: Ian Beer von Google Project Zero

Kernel

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 und macOS Catalina 10.15

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8828: Cim Stordal von Cognite

CVE-2019-8838: Dr. Silvio Cesare von InfoSect

CVE-2019-8847: Apple

CVE-2019-8852: pattern-f (@pattern_F_) von WaCai

libexpat

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Die Analyse einer schadhaften XML-Datei könnte zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Dieses Problem wurde durch die Aktualisierung von Expat auf Version 2.2.8 behoben.

CVE-2019-15903: Joonun Jang

Hinweise

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein entfernter Angreifer kann bestehende Dateien überschreiben.

Beschreibung: Ein Parsing-Problem bei der Verarbeitung von Verzeichnispfaden wurde durch eine verbesserte Pfadüberprüfung behoben.

CVE-2020-9782: Allison Husain von der UC Berkeley

OpenLDAP

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Mehrere Probleme bei OpenLDAP

Beschreibung: Mehrere Probleme wurden durch das Update von OpenLDAP auf Version 2.4.28 behoben.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Sicherheit

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 und macOS Catalina 10.15

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8832: Insu Yun vom SSLab der Georgia Tech

tcpdump

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Mehrere Probleme in tcpdump

Beschreibung: Mehrere Probleme wurden durch das Update von tcpdump auf Version 4.9.3 und von libpcap auf Version 1.9.1 behoben.

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15166

CVE-2019-15167

WLAN

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: Ein Angreifer in WLAN-Reichweite kann eine geringe Menge des Datenverkehrs im Netzwerk sehen.

Beschreibung: Bei der Behandlung von Statusübergängen kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-15126: Milos Cermak bei ESET

Zusätzliche Danksagung

Accounts

Wir möchten uns bei Allison Husain von der UC Berkeley, Kishan Bagaria (KishanBagaria.com) und Tom Snelling von der Loughborough University für die Unterstützung bedanken.

Core Data

Wir möchten uns bei natashenka von Google Project Zero für die Unterstützung bedanken.

Finder

Wir möchten uns bei Csaba Fitzl (@theevilbit) für die Unterstützung bedanken.

Kernel

Wir möchten uns bei Daniel Roethlisberger von Swisscom CSIRT für die Unterstützung bedanken.